Ustawienia zasad ochrony aplikacji systemu iOS
W tym artykule opisano ustawienia zasad ochrony aplikacji dla urządzeń z systemem iOS/iPadOS. Opisane ustawienia zasad można skonfigurować dla zasad ochrony aplikacji w okienku Ustawienia w portalu podczas tworzenia nowych zasad.
Istnieją trzy kategorie ustawień zasad: relokacja danych, wymagania dotyczące dostępu i uruchamianie warunkowe. W tym artykule termin aplikacje zarządzane przez zasady odnosi się do aplikacji skonfigurowanych przy użyciu zasad ochrony aplikacji.
Ważna
Intune Managed Browser został wycofany. Użyj przeglądarki Microsoft Edge, aby korzystać z chronionego środowiska przeglądarki Intune.
Ochrona danych
Ważna
W przypadku aplikacji, które zostały zaktualizowane do wersji 19.7.6 lub nowszej dla programu Xcode 15 i wersji 20.2.1 lub nowszej dla Xcode 16 zestawu SDK, blok przechwytywania ekranu zostanie zastosowany, jeśli skonfigurowano ustawienie Wyślij dane organizacji do innych aplikacji na wartość inną niż "Wszystkie aplikacje". Możesz skonfigurować ustawienie zasad konfiguracji aplikacji "com.microsoft.intune.mam.screencapturecontrol = Disabled", jeśli chcesz zezwolić na przechwytywanie ekranu dla urządzeń z systemem iOS.
Transfer danych
Ustawienie | Sposób użycia | Wartość domyślna |
---|---|---|
Tworzenie kopii zapasowych danych organizacji w programach iTunes i kopiach zapasowych w usłudze iCloud | Wybierz pozycję Blokuj , aby uniemożliwić tej aplikacji tworzenie kopii zapasowych danych służbowych w programach iTunes i iCloud. Wybierz pozycję Zezwalaj, aby zezwolić tej aplikacji na tworzenie kopii zapasowych danych służbowych w programach iTunes i iCloud. | Zezwalaj |
Wysyłanie danych organizacji do innych aplikacji | Określ, które aplikacje mogą odbierać dane z tej aplikacji:
Wyszukiwanie w centrum uwagi (umożliwia wyszukiwanie danych w aplikacjach) i skróty Siri są blokowane, chyba że ustawiono opcję Wszystkie aplikacje. Te zasady mogą również dotyczyć linków uniwersalnych systemu iOS/iPadOS. Ogólne linki internetowe są zarządzane za pomocą linków Otwórz aplikację w Intune Managed Browser ustawieniu zasad. Istnieją pewne wykluczone aplikacje i usługi, do których Intune domyślnie mogą zezwalać na transfer danych. Ponadto możesz utworzyć własne wykluczenia, jeśli chcesz zezwolić na przesyłanie danych do aplikacji, która nie obsługuje Intune APP. Aby uzyskać więcej informacji , zobacz wykluczenia z transferu danych . |
Wszystkie aplikacje |
|
Ta opcja jest dostępna po wybraniu pozycji Aplikacje zarządzane przez zasady dla poprzedniej opcji. | |
|
Określ, które uniwersalne łącza systemu iOS/iPadOS mają być otwierane w określonej aplikacji niezarządzanej , a nie w chronionej przeglądarce określonej przez ustawienie Ogranicz transfer zawartości internetowej za pomocą innych aplikacji . Aby określić poprawny format łącza uniwersalnego dla każdej aplikacji, musisz skontaktować się z deweloperem aplikacji. | |
|
Określ, które uniwersalne linki systemu iOS/iPadOS mają być otwierane w określonej aplikacji zarządzanej , a nie w chronionej przeglądarce określonej przez ustawienie Ogranicz transfer zawartości internetowej za pomocą innych aplikacji . Aby określić poprawny format łącza uniwersalnego dla każdej aplikacji, musisz skontaktować się z deweloperem aplikacji. | |
|
Wybierz pozycję Blokuj , aby wyłączyć korzystanie z opcji Zapisz jako w tej aplikacji. Wybierz pozycję Zezwalaj , jeśli chcesz zezwolić na korzystanie z opcji Zapisz jako. Po ustawieniu opcji Blokuj można skonfigurować ustawienie Zezwalaj użytkownikowi na zapisywanie kopii w wybranych usługach. Uwaga:
|
Zezwalaj |
|
Użytkownicy mogą zapisywać w wybranych usługach (OneDrive dla Firm, SharePoint, Photo Library i Local Storage). Wszystkie inne usługi są blokowane. OneDrive dla Firm: możesz zapisywać pliki w OneDrive dla Firm i usłudze SharePoint Online. SharePoint: możesz zapisywać pliki w lokalnym programie SharePoint. Biblioteka zdjęć: pliki można zapisywać lokalnie w bibliotece zdjęć. Magazyn lokalny: aplikacje zarządzane mogą zapisywać kopie danych organizacji lokalnie. Nie obejmuje to zapisywania plików w lokalnych lokalizacjach niezarządzanych, takich jak aplikacja Pliki na urządzeniu. | Wybrano 0 |
|
Zazwyczaj gdy użytkownik wybierze hiperłączy numer telefonu w aplikacji, zostanie otwarta aplikacja wybierania numerów z numerem telefonu wypełnionym wstępnie i gotowym do połączenia. W tym ustawieniu wybierz sposób obsługi tego typu transferu zawartości, gdy jest inicjowany z aplikacji zarządzanej przez zasady:
Uwaga: to ustawienie wymaga zestawu Intune SDK 12.7.0 lub nowszego. Jeśli aplikacje korzystają z funkcji wybierania numerów i nie używają poprawnej wersji zestawu SDK Intune, jako obejście rozważ dodanie opcji "tel; telprompt" jako wykluczenie transferu danych. Gdy aplikacje obsługują poprawną wersję zestawu SDK Intune, można usunąć wykluczenie. |
Dowolna aplikacja wybierania numerów |
|
Po wybraniu określonej aplikacji wybierania numerów należy podać schemat adresu URL aplikacji wybierania numerów używany do uruchamiania aplikacji wybierania numerów na urządzeniach z systemem iOS. Aby uzyskać więcej informacji, zobacz dokumentację firmy Apple dotyczącą linków telefonicznych. | Pusty |
|
Zazwyczaj gdy użytkownik wybierze hiperłącza link do wiadomości w aplikacji, zostanie otwarta aplikacja do obsługi komunikatów z numerem telefonu wypełnionym wstępnie i gotowym do wysłania. W tym ustawieniu wybierz sposób obsługi tego typu transferu zawartości, gdy jest inicjowany z aplikacji zarządzanej przez zasady. Aby to ustawienie mogło zostać zastosowane, mogą być konieczne dodatkowe kroki. Najpierw sprawdź, czy wiadomość SMS została usunięta z listy Wybierz aplikacje do wykluczenia. Następnie upewnij się, że aplikacja używa nowszej wersji zestawu Intune SDK (wersja > 19.0.0). W tym ustawieniu wybierz sposób obsługi tego typu transferu zawartości, gdy jest inicjowany z aplikacji zarządzanej przez zasady:
Uwaga: to ustawienie wymaga zestawu Intune SDK 19.0.0 lub nowszego. |
Dowolna aplikacja do obsługi komunikatów |
|
Po wybraniu określonej aplikacji do obsługi komunikatów należy podać schemat adresu URL aplikacji do obsługi komunikatów, który jest używany do uruchamiania aplikacji do obsługi komunikatów na urządzeniach z systemem iOS. Aby uzyskać więcej informacji, zobacz dokumentację firmy Apple dotyczącą linków telefonicznych. | Pusty |
Odbieranie danych z innych aplikacji | Określ, które aplikacje mogą przesyłać dane do tej aplikacji:
|
Wszystkie aplikacje |
|
Wybierz pozycję Blokuj , aby wyłączyć korzystanie z opcji Otwórz lub innych opcji do udostępniania danych między kontami w tej aplikacji. Wybierz pozycję Zezwalaj , jeśli chcesz zezwolić na korzystanie z opcji Otwórz. Po ustawieniu opcji Blokuj można skonfigurować opcję Zezwalaj użytkownikowi na otwieranie danych z wybranych usług , aby określić, które usługi są dozwolone dla lokalizacji danych organizacji. Uwaga:
|
Zezwalaj |
|
Wybierz usługi magazynu aplikacji, z których użytkownicy mogą otwierać dane. Wszystkie inne usługi są blokowane. Wybranie żadnych usług uniemożliwi użytkownikom otwieranie danych z lokalizacji zewnętrznych. Nuta: Ta kontrolka jest przeznaczona do pracy na danych spoza kontenera firmowego. Obsługiwane usługi:
|
Wszystkie wybrane |
Ograniczanie wycinania, kopiowania i wklejania między innymi aplikacjami | Określ, kiedy można używać akcji wycinania, kopiowania i wklejania z tą aplikacją. Wybierz pozycję z:
|
Dowolna aplikacja |
|
Określ liczbę znaków, które mogą być wycinane lub kopiowane z danych i kont organizacji. Umożliwi to udostępnianie określonej liczby znaków dowolnej aplikacji, niezależnie od ustawienia Ogranicz wycinanie, kopiowanie i wklejanie z innymi aplikacjami . Wartość domyślna = 0 Uwaga: wymaga, aby aplikacja miała zestaw Intune SDK w wersji 9.0.14 lub nowszej. |
0 |
Klawiatury innych firm | Wybierz pozycję Blokuj , aby uniemożliwić korzystanie z klawiatur innych firm w aplikacjach zarządzanych. Po włączeniu tego ustawienia użytkownik otrzymuje jednorazowy komunikat informujący o zablokowaniu korzystania z klawiatur innych firm. Ten komunikat pojawia się po raz pierwszy, gdy użytkownik wchodzi w interakcję z danymi organizacyjnymi, które wymagają użycia klawiatury. Tylko standardowa klawiatura systemu iOS/iPadOS jest dostępna podczas korzystania z aplikacji zarządzanych, a wszystkie inne opcje klawiatury są wyłączone. To ustawienie będzie miało wpływ zarówno na konta organizacji, jak i konta osobiste aplikacji obsługujących wiele tożsamości. To ustawienie nie ma wpływu na korzystanie z klawiatur innych firm w aplikacjach niezarządzanych. Nuta: Ta funkcja wymaga, aby aplikacja używała zestawu Intune SDK w wersji 12.0.16 lub nowszej. Aplikacje z zestawem SDK w wersji od 8.0.14 do wersji 12.0.15 włącznie nie będą mieć tej funkcji poprawnie stosowanej w przypadku aplikacji z wieloma tożsamościami. Aby uzyskać więcej informacji, zobacz Znany problem: Klawiatury innych firm nie są blokowane w systemie iOS/iPadOS dla kont osobistych. |
Zezwalaj |
Uwaga
Zasady ochrony aplikacji są wymagane w usłudze IntuneMAMUPN dla urządzeń zarządzanych. Dotyczy to również wszystkich ustawień, które wymagają zarejestrowanych urządzeń.
Szyfrowanie
Ustawienie | Sposób użycia | Wartość domyślna |
---|---|---|
Szyfrowanie danych organizacji | Wybierz pozycję Wymagaj, aby włączyć szyfrowanie danych służbowych w tej aplikacji. Intune wymusza szyfrowanie na poziomie urządzenia z systemem iOS/iPadOS w celu ochrony danych aplikacji, gdy urządzenie jest zablokowane. Ponadto aplikacje mogą opcjonalnie szyfrować dane aplikacji przy użyciu Intune szyfrowania zestawu SDK aplikacji. Intune zestaw SDK aplikacji używa metod kryptograficznych systemu iOS/iPadOS do stosowania 256-bitowego szyfrowania AES do danych aplikacji. Po włączeniu tego ustawienia użytkownik może być zobowiązany do skonfigurowania i użycia numeru PIN urządzenia w celu uzyskania dostępu do urządzenia. Jeśli nie ma numeru PIN urządzenia i szyfrowanie jest wymagane, użytkownik jest monitowany o ustawienie numeru PIN z komunikatem "Twoja organizacja wymaga najpierw włączenia numeru PIN urządzenia w celu uzyskania dostępu do tej aplikacji". Przejdź do oficjalnej dokumentacji firmy Apple , aby dowiedzieć się więcej o klasach ochrony danych w ramach zabezpieczeń platformy Apple. |
Wymagać |
Funkcjonalność
Ustawienie | Sposób użycia | Wartość domyślna |
---|---|---|
Synchronizowanie danych aplikacji zarządzanych przez zasady z aplikacjami natywnymi lub dodatkami | Wybierz pozycję Blokuj, aby uniemożliwić aplikacjom zarządzanym przez zasady zapisywanie danych w aplikacjach natywnych urządzenia (kontakty, kalendarz i widżety) oraz uniemożliwić korzystanie z dodatków w aplikacjach zarządzanych przez zasady. Jeśli aplikacja nie jest obsługiwana, zapisywanie danych w aplikacjach natywnych i korzystanie z dodatków będzie dozwolone. Jeśli wybierzesz pozycję Zezwalaj, aplikacja zarządzana przez zasady może zapisywać dane w aplikacjach natywnych lub korzystać z dodatków, jeśli te funkcje są obsługiwane i włączone w aplikacji zarządzanej przez zasady. Aplikacje mogą udostępniać dodatkowe kontrolki, aby dostosować zachowanie synchronizacji danych do określonych aplikacji natywnych lub nie uwzględniać tej kontrolki. Uwaga: Podczas selektywnego czyszczenia danych w celu usunięcia danych służbowych z aplikacji dane synchronizowane bezpośrednio z aplikacji zarządzanej przez zasady z aplikacją natywną są usuwane. Żadne dane zsynchronizowane z aplikacji natywnej z innym źródłem zewnętrznym nie zostaną wyczyszczone. Uwaga: następujące aplikacje obsługują tę funkcję:
|
Zezwalaj |
Drukowanie danych organizacji | Wybierz pozycję Blokuj , aby uniemożliwić aplikacji drukowanie danych służbowych. Jeśli pozostawisz to ustawienie na wartość Zezwalaj, wartość domyślna użytkownicy będą mogli eksportować i drukować wszystkie dane organizacji. | Zezwalaj |
Ograniczanie transferu zawartości internetowej za pomocą innych aplikacji | Określ sposób, w jaki zawartość internetowa (linki http/https) jest otwierana z aplikacji zarządzanych przez zasady. Wybierz jedną z następujących opcji:
Jeśli przeglądarka zarządzana przez zasady jest wymagana, ale nie jest zainstalowana, użytkownicy końcowi zostaną poproszeni o zainstalowanie przeglądarki Microsoft Edge. Jeśli wymagana jest przeglądarka zarządzana przez zasady, uniwersalne linki systemu iOS/iPadOS są zarządzane przez ustawienie zasad Wyślij dane organizacji do innych aplikacji .
rejestrowanie urządzeń Intune
Microsoft Edge zarządzany przez zasady
Uwaga: zestaw SDK Intune nie może określić, czy aplikacja docelowa jest przeglądarką. Na urządzeniach z systemem iOS/iPadOS żadne inne aplikacje przeglądarki zarządzanej nie są dozwolone. |
Nie skonfigurowano |
|
Wprowadź protokół dla jednej przeglądarki niezarządzanej. Zawartość sieci Web (linki http/https) z aplikacji zarządzanych przez zasady zostanie otwarta w dowolnej aplikacji, która obsługuje ten protokół. Zawartość internetowa będzie niezarządzana w przeglądarce docelowej. Ta funkcja powinna być używana tylko wtedy, gdy chcesz udostępniać chronioną zawartość w określonej przeglądarce, która nie jest włączona przy użyciu zasad ochrony aplikacji Intune. Aby określić protokół obsługiwany przez żądaną przeglądarkę, należy skontaktować się z dostawcą przeglądarki. Uwaga: uwzględnij tylko prefiks protokołu. Jeśli przeglądarka wymaga linków formularza mybrowser://www.microsoft.com , wprowadź .mybrowser Linki zostaną przetłumaczone jako:
|
Pusty |
Powiadomienia o danych organizacji | Określ sposób udostępniania danych organizacji za pośrednictwem powiadomień systemu operacyjnego dla kont organizacji. To ustawienie zasad będzie miało wpływ na urządzenie lokalne i wszystkie podłączone urządzenia, takie jak urządzenia do noszenia i inteligentne głośniki. Aplikacje mogą udostępniać dodatkowe kontrolki w celu dostosowania zachowania powiadomień lub mogą nie uwzględniać wszystkich wartości. Wybierz pozycję z:
Uwaga:
|
Zezwalaj |
Uwaga
Żadne z ustawień ochrony danych nie kontroluje funkcji otwierania zarządzanego przez firmę Apple na urządzeniach z systemem iOS/iPadOS. Aby korzystać z zarządzania aplikacjami typu open-in firmy Apple, zobacz Zarządzanie transferem danych między aplikacjami systemu iOS/iPadOS przy użyciu Microsoft Intune.
Wykluczenia z transferu danych
Istnieją pewne wykluczone aplikacje i usługi platformy, które Intune zasad ochrony aplikacji mogą zezwalać na transfer danych do i z w niektórych scenariuszach. Ta lista może ulec zmianie i odzwierciedla usługi i aplikacje uważane za przydatne w celu zapewnienia bezpiecznej produktywności.
Aplikacje niezarządzane innych firm można dodać do listy wykluczeń, co może zezwalać na wyjątki transferu danych. Aby uzyskać dodatkowe informacje i przykłady, zobacz How to create exceptions to the Intune App Protection Policy (APP) data transfer policy (APP) data transfer policy (How to create exceptions to the Intune App Protection Policy (APP) data transfer policy (APP) (Jak tworzyć wyjątki od zasad transferu danych Intune App Protection Policy). Wykluczona aplikacja niezarządzana musi być wywoływana na podstawie protokołu adresu URL systemu iOS. Na przykład dodanie wykluczenia transferu danych dla niezarządzanej aplikacji nadal uniemożliwia użytkownikom wykonywanie operacji wycinania, kopiowania i wklejania, jeśli są ograniczone przez zasady. Ten typ wykluczenia nadal uniemożliwia użytkownikom korzystanie z akcji Otwieranie w aplikacji zarządzanej do udostępniania lub zapisywania danych w celu wykluczenia aplikacji, ponieważ nie jest ona oparta na protokole adresu URL systemu iOS. Aby uzyskać więcej informacji na temat otwierania, zobacz Korzystanie z ochrony aplikacji w aplikacjach systemu iOS.
Nazwy aplikacji/usługi | Opis |
---|---|
skype |
Skype |
app-settings |
Ustawienia urządzenia |
itms; itmss; itms-apps; itms-appss; itms-services |
App Store |
calshow |
Kalendarz natywny |
Ważna
Zasady ochrony aplikacji utworzone przed 15 czerwca 2020 r. obejmują schemat adresów URL tel i telprompt w ramach domyślnych wyłączeń transferu danych. Te schematy adresów URL umożliwiają aplikacjom zarządzanym inicjowanie wybierania numerów. Ustawienie zasad usługi App Protection Transfer danych telekomunikacyjnych do zastąpiło tę funkcję. Administratorzy powinni usunąć tel. telprompt; z wyjątków transferu danych i polegaj na ustawieniu zasad usługi App Protection, pod warunkiem, że aplikacje zarządzane inicjujące funkcje wybierania numerów obejmują zestaw Intune SDK 12.7.0 lub nowszy.
Ważna
W Intune SDK 14.5.0 lub nowszym, w tym schematy adresów URL sms i mailto w wykluczeniach transferu danych, umożliwią również udostępnianie danych organizacji kontrolerom MFMessageCompose (w przypadku wiadomości SMS) i MFMailCompose (dla poczty e-mail) w aplikacjach zarządzanych przez zasady.
Łącza uniwersalne
Linki uniwersalne umożliwiają użytkownikowi bezpośrednie uruchamianie aplikacji skojarzonej z linkiem zamiast chronionej przeglądarki określonej przez ustawienie Ogranicz transfer zawartości internetowej za pomocą innych aplikacji . Aby określić poprawny format łącza uniwersalnego dla każdej aplikacji, należy skontaktować się z deweloperem aplikacji.
Domyślne linki do klipów aplikacji są również zarządzane przez zasady linków uniwersalnych.
Wykluczanie łączy uniwersalnych
Dodając łącza uniwersalne do aplikacji niezarządzanych , można uruchomić określoną aplikację. Aby dodać aplikację, musisz dodać link do listy wykluczenia.
Uwaga
Aplikacje docelowe dla tych linków uniwersalnych są niezarządzane, a dodanie wykluczenia może spowodować wycieki zabezpieczeń danych.
Domyślne wykluczenia aplikacji Universal Link są następujące:
Link uniwersalny aplikacji | Opis |
---|---|
http://maps.apple.com;
https://maps.apple.com
|
Aplikacja Maps |
http://facetime.apple.com;
https://facetime.apple.com
|
Aplikacja FaceTime |
Jeśli nie chcesz zezwalać na domyślne wykluczenia usługi Universal Link, możesz je usunąć. Możesz również dodać linki uniwersalne dla aplikacji innych firm lub aplikacji biznesowych. Wykluczone łącza uniwersalne zezwalają na symbole wieloznaczne, takie jak http://*.sharepoint-df.com/*
.
Zarządzane łącza uniwersalne
Dodając linki uniwersalne do aplikacji zarządzanych , można bezpiecznie uruchomić określoną aplikację. Aby dodać aplikację, musisz dodać link uniwersalny aplikacji do listy zarządzanej. Jeśli aplikacja docelowa obsługuje zasady Intune App Protection, wybranie linku spowoduje próbę uruchomienia aplikacji. Jeśli nie można otworzyć aplikacji, link zostanie otwarty w chronionej przeglądarce. Jeśli aplikacja docelowa nie integruje zestawu Intune SDK, wybranie linku spowoduje uruchomienie chronionej przeglądarki.
Domyślne zarządzane łącza uniwersalne są następujące:
Link uniwersalny aplikacji zarządzanej | Opis |
---|---|
http://*.onedrive.com/*;
https://*.onedrive.com/*;
|
OneDrive |
http://*.appsplatform.us/*;
http://*.powerapps.cn/*;
http://*.powerapps.com/*;
http://*.powerapps.us/*;
https://*.powerbi.com/*;
https://app.powerbi.cn/*;
https://app.powerbigov.us/*;
https://app.powerbi.de/*;
|
PowerApps |
http://*.powerbi.com/*;
http://app.powerbi.cn/*;
http://app.powerbigov.us/*;
http://app.powerbi.de/*;
https://*.appsplatform.us/*;
https://*.powerapps.cn/*;
https://*.powerapps.com/*;
https://*.powerapps.us/*;
|
Power BI |
http://*.service-now.com/*;
https://*.service-now.com/*;
|
ServiceNow |
http://*.sharepoint.com/*;
http://*.sharepoint-df.com/*;
https://*.sharepoint.com/*;
https://*.sharepoint-df.com/*;
|
SharePoint |
http://web.microsoftstream.com/video/*;
http://msit.microsoftstream.com/video/*;
https://web.microsoftstream.com/video/*;
https://msit.microsoftstream.com/video/*;
|
Stream |
http://*teams.microsoft.com/l/*;
http://*devspaces.skype.com/l/*;
http://*teams.live.com/l/*;
http://*collab.apps.mil/l/*;
http://*teams.microsoft.us/l/*;
http://*teams-fl.microsoft.com/l/*;
https://*teams.microsoft.com/l/*;
https://*devspaces.skype.com/l/*;
https://*teams.live.com/l/*;
https://*collab.apps.mil/l/*;
https://*teams.microsoft.us/l/*;
https://*teams-fl.microsoft.com/l/*;
|
Teams |
http://tasks.office.com/*;
https://tasks.office.com/*;
http://to-do.microsoft.com/sharing*;
https://to-do.microsoft.com/sharing*;
|
ToDo |
http://*.yammer.com/*;
https://*.yammer.com/*;
|
Viva Engage |
http://*.zoom.us/*;
https://*.zoom.us/*;
|
Powiększenia |
Jeśli nie chcesz zezwalać na domyślne zarządzane łącza uniwersalne, możesz je usunąć. Możesz również dodać linki uniwersalne dla aplikacji innych firm lub aplikacji biznesowych.
Wymagania dotyczące dostępu
Ustawienie | Sposób użycia | Wartość domyślna |
---|---|---|
Numer PIN dostępu | Wybierz pozycję Wymagaj , aby wymagać numeru PIN do korzystania z tej aplikacji. Użytkownik jest monitowany o skonfigurowanie tego numeru PIN przy pierwszym uruchomieniu aplikacji w kontekście służbowym. Numer PIN jest stosowany podczas pracy w trybie online lub offline. Siłę numeru PIN można skonfigurować przy użyciu ustawień dostępnych w sekcji Numer PIN dla dostępu . Nuta: Użytkownicy końcowi, którzy mogą uzyskiwać dostęp do aplikacji, mogą zresetować numer PIN aplikacji. To ustawienie może nie być widoczne w niektórych przypadkach na urządzeniach z systemem iOS. Urządzenia z systemem iOS mają maksymalnie cztery dostępne skróty. Aby wyświetlić skrót resetowania numeru PIN aplikacji, użytkownik końcowy może potrzebować dostępu do skrótu z innej zarządzanej aplikacji. |
Wymagać |
|
Przed uzyskaniem dostępu do aplikacji z zastosowanymi zasadami ochrony aplikacji ustaw wymaganie dotyczące numerów pinów lub kodów dostępu. Wymagania liczbowe obejmują tylko liczby, natomiast kod dostępu można zdefiniować przy użyciu co najmniej 1 litery alfabetycznej lub co najmniej 1 znaku specjalnego. Uwaga:Aby skonfigurować typ kodu dostępu, aplikacja musi mieć Intune zestawU SDK w wersji 7.1.12 lub nowszej. Typ liczbowy nie ma ograniczeń wersji zestawu SDK Intune. Dozwolone znaki specjalne obejmują znaki specjalne i symbole na klawiaturze języka angielskiego systemu iOS/iPadOS. |
Numeryczny |
|
Wybierz pozycję Zezwalaj , aby umożliwić użytkownikom używanie prostych sekwencji numerów PIN, takich jak 1234, 1111, abcd lub aaaa. Wybierz pozycję Blokuj , aby uniemożliwić im używanie prostych sekwencji. Proste sekwencje są zaewidencjonowane w 3-znakowych oknach przesuwnych. Jeśli ustawienie Blokuj jest skonfigurowane, numer 1235 lub 1112 nie zostanie zaakceptowany jako numer PIN ustawiony przez użytkownika końcowego, ale numer 1122 będzie dozwolony. Uwaga: jeśli skonfigurowano kod PIN typu Kod dostępu, a wartość Zezwalaj na prosty numer PIN jest ustawiona na Wartość Tak, użytkownik musi mieć co najmniej 1 literę lub co najmniej 1 znak specjalny w numerze PIN. Jeśli skonfigurowano kod PIN typu Kod dostępu, a wartość Zezwalaj na prosty numer PIN jest ustawiona na wartość Nie, użytkownik musi mieć co najmniej 1 cyfrę i 1 literę oraz co najmniej 1 znak specjalny w numerze PIN. |
Zezwalaj |
|
Określ minimalną liczbę cyfr w sekwencji numeru PIN. | 4 |
|
Wybierz pozycję Zezwalaj , aby zezwolić użytkownikowi na używanie funkcji Touch ID zamiast numeru PIN na potrzeby dostępu do aplikacji. | Zezwalaj |
|
Aby użyć tego ustawienia, wybierz pozycję Wymagaj , a następnie skonfiguruj limit czasu braku aktywności. | Wymagać |
|
Określ czas w minutach, po którym kod dostępu lub numeryczny (zgodnie z konfiguracją) numer PIN zastąpi użycie odcisku palca lub twarzy jako metody dostępu. Ta wartość limitu czasu powinna być większa niż wartość określona w obszarze "Sprawdź ponownie wymagania dostępu po (minutach braku aktywności)". | 30 |
|
Wybierz pozycję Zezwalaj , aby zezwolić użytkownikowi na używanie technologii rozpoznawania twarzy do uwierzytelniania użytkowników na urządzeniach z systemem iOS/iPadOS. Jeśli jest to dozwolone, funkcja Face ID musi być używana do uzyskiwania dostępu do aplikacji na urządzeniu z obsługą funkcji Face ID. | Zezwalaj |
|
Wybierz pozycję Tak , aby wymagać od użytkowników zmiany numeru PIN aplikacji po upływie określonego czasu w dniach. Po ustawieniu wartości Tak należy skonfigurować liczbę dni przed koniecznością zresetowania numeru PIN. |
Nie |
|
Skonfiguruj liczbę dni, po których wymagane jest zresetowanie numeru PIN. | 90 |
|
Wybierz pozycję Wyłącz, aby wyłączyć numer PIN aplikacji po wykryciu blokady urządzenia na zarejestrowanym urządzeniu z skonfigurowaną Portal firmy. Uwaga:Wymaga, aby aplikacja miała zestaw Intune SDK w wersji 7.0.1 lub nowszej. Aby aplikacje wykryły stan rejestracji, należy skonfigurować ustawienie IntuneMAMUPN. Na urządzeniach z systemem iOS/iPadOS możesz zezwolić użytkownikowi na potwierdzenie swojej tożsamości przy użyciu funkcji Touch ID lub Face ID zamiast numeru PIN. Intune używa interfejsu API uwierzytelniania lokalnego do uwierzytelniania użytkowników przy użyciu funkcji Touch ID i Face ID. Aby dowiedzieć się więcej na temat funkcji Touch ID i Face ID, zobacz Przewodnik po zabezpieczeniach systemu iOS. Gdy użytkownik spróbuje użyć tej aplikacji ze swoim kontem służbowym, zostanie wyświetlony monit o podanie tożsamości odcisku palca lub tożsamości twarzy zamiast wprowadzania numeru PIN. Po włączeniu tego ustawienia obraz podglądu przełącznika aplikacji zostanie rozmyty podczas korzystania z konta służbowego. Jeśli nastąpiła jakakolwiek zmiana w biometrycznej bazie danych urządzenia, Intune monituje użytkownika o podanie numeru PIN po osiągnięciu następnej wartości limitu czasu braku aktywności. Zmiany danych biometrycznych obejmują dodanie lub usunięcie odcisku palca lub twarzy na potrzeby uwierzytelniania. Jeśli Intune użytkownik nie ma ustawionego numeru PIN, zostanie skonfigurowany numer PIN Intune. |
Umożliwiać |
Poświadczenia konta służbowego na potrzeby dostępu | Wybierz pozycję Wymagaj , aby wymagać od użytkownika zalogowania się przy użyciu konta służbowego zamiast wprowadzania numeru PIN w celu uzyskania dostępu do aplikacji. Jeśli ustawisz wartość Wymagaj, a numer PIN lub monity biometryczne zostaną włączone, zostaną wyświetlone zarówno poświadczenia firmowe, jak i numer PIN lub monity biometryczne. | Nie jest wymagane |
Sprawdź ponownie wymagania dostępu po (w minutach braku aktywności) | Skonfiguruj liczbę minut braku aktywności, która musi minąć, zanim aplikacja będzie wymagać od użytkownika ponownego określenia wymagań dotyczących dostępu. Na przykład administrator włącza numer PIN i blokuje urządzenia z odblokowanym dostępem do konta w zasadach, użytkownik otwiera aplikację zarządzaną Intune, musi wprowadzić numer PIN i musi używać aplikacji na urządzeniu nieobjętym funkcją. W przypadku korzystania z tego ustawienia użytkownik nie będzie musiał wprowadzać numeru PIN ani przechodzić innego sprawdzania wykrywania root w żadnej aplikacji zarządzanej Intune przez okres równy skonfigurowanej wartości. Uwaga:w systemie iOS/iPadOS numer PIN jest udostępniany wszystkim aplikacjom zarządzanym przez Intune tego samego wydawcy. Czasomierz numeru PIN dla określonego numeru PIN jest resetowany, gdy aplikacja opuści pierwszy plan na urządzeniu. Użytkownik nie będzie musiał wprowadzać numeru PIN w żadnej aplikacji zarządzanej Intune, która udostępnia swój numer PIN przez czas trwania limitu czasu zdefiniowanego w tym ustawieniu. Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą. |
30 |
Uwaga
Aby dowiedzieć się więcej o tym, jak wiele Intune ustawień ochrony aplikacji skonfigurowanych w sekcji Dostęp do tego samego zestawu aplikacji i użytkowników działa w systemie iOS/iPadOS, zobacz Intune MAM często zadawane pytania i Selektywne czyszczenie danych przy użyciu akcji dostępu zasad ochrony aplikacji w Intune.
Uruchamianie warunkowe
Skonfiguruj ustawienia uruchamiania warunkowego, aby ustawić wymagania dotyczące zabezpieczeń logowania dla zasad ochrony dostępu.
Domyślnie dostępnych jest kilka ustawień ze wstępnie skonfigurowanymi wartościami i akcjami. Niektóre z nich można usunąć, na przykład minimalną wersję systemu operacyjnego. Możesz również wybrać dodatkowe ustawienia z listy rozwijanej Wybierz jeden .
Ustawienie | Sposób użycia |
---|---|
Maksymalna wersja systemu operacyjnego | Określ maksymalny system operacyjny iOS/iPadOS do korzystania z tej aplikacji.
Akcje obejmują:
Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję. Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build. Uwaga:Wymaga, aby aplikacja miała zestaw Intune SDK w wersji 14.4.0 lub nowszej. |
Minimalna wersja systemu operacyjnego | Określ minimalny system operacyjny iOS/iPadOS do korzystania z tej aplikacji.
Akcje obejmują:
Ten format ustawienia zasad obsługuje pliki major.minor, major.minor.build, major.minor.build.build. Uwaga:Wymaga, aby aplikacja miała zestaw Intune SDK w wersji 7.0.1 lub nowszej. |
Maksymalna liczba prób numeru PIN | Określ liczbę prób pomyślnego wprowadzenia numeru PIN przez użytkownika przed podjęciem skonfigurowanej akcji. Jeśli użytkownik nie może pomyślnie wprowadzić numeru PIN po maksymalnej próbie podania numeru PIN, użytkownik musi zresetować numer PIN po pomyślnym zalogowaniu się na koncie i ukończeniu wyzwania uwierzytelniania wieloskładnikowego (MFA), jeśli jest to wymagane. Ten format ustawienia zasad obsługuje dodatnią liczbę całkowitą.
Akcje obejmują:
|
Okres prolongaty w trybie offline | Liczba minut, przez które aplikacje zarządzane przez zasady mogą działać w trybie offline. Określ czas (w minutach) przed ponownym sprawdzeniem wymagań dostępu dla aplikacji.
Akcje obejmują:
|
Urządzenia ze zdjętymi zabezpieczeniami systemu /urządzeniami z dostępem do konta root | Nie ma wartości do ustawienia dla tego ustawienia.
Akcje obejmują:
|
Wyłączone konto | Nie ma wartości do ustawienia dla tego ustawienia.
Akcje obejmują:
|
Minimalna wersja aplikacji | Określ wartość minimalnej wartości wersji aplikacji.
Akcje obejmują:
Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję. To ustawienie zasad obsługuje pasujące formaty wersji pakietu aplikacji systemu iOS (major.minor lub major.minor.patch). Uwaga:Wymaga, aby aplikacja miała zestaw Intune SDK w wersji 7.0.1 lub nowszej. Ponadto można skonfigurować miejsce, w którym użytkownicy końcowi mogą uzyskać zaktualizowaną wersję aplikacji biznesowych. Użytkownicy końcowi zobaczą to w oknie dialogowym uruchamiania warunkowego minimalnej wersji aplikacji , co spowoduje wyświetlenie monitu dla użytkowników końcowych o zaktualizowanie do minimalnej wersji aplikacji LOB. W systemie iOS/iPadOS ta funkcja wymaga integracji aplikacji (lub opakowania przy użyciu narzędzia opakowującego) przy użyciu zestawu SDK Intune dla systemu iOS w wersji 10.0.7 lub nowszej. Aby skonfigurować lokalizację, w której użytkownik końcowy powinien zaktualizować aplikację lob, aplikacja musi wysłać do niej zasady konfiguracji aplikacji zarządzanej z kluczem com.microsoft.intune.myappstore . Wysłana wartość zdefiniuje, z którego magazynu użytkownik końcowy pobierze aplikację. Jeśli aplikacja jest wdrażana za pośrednictwem Portal firmy, wartość musi mieć wartość CompanyPortal . W przypadku dowolnego innego magazynu należy wprowadzić pełny adres URL. |
Minimalna wersja zestawu SDK | Określ minimalną wartość dla wersji zestawu Intune SDK.
Akcje obejmują:
Ten wpis może być wyświetlany wiele razy, a każde wystąpienie obsługuje inną akcję. |
Modele urządzeń | Określ rozdzielaną średnikami listę identyfikatorów modelu. Te wartości nie uwzględniają wielkości liter.
Akcje obejmują:
|
Maksymalny dozwolony poziom zagrożenia urządzenia | Ochrona aplikacji zasady mogą korzystać z łącznika Intune-MTD. Określ maksymalny dopuszczalny poziom zagrożenia do korzystania z tej aplikacji. Zagrożenia są określane przez wybraną aplikację dostawcy usługi Mobile Threat Defense (MTD) na urządzeniu użytkownika końcowego. Określ wartości Zabezpieczone, Niskie, Średnie lub Wysokie.
Zabezpieczone nie wymaga żadnych zagrożeń na urządzeniu i jest najbardziej restrykcyjną wartością konfigurowalną, podczas gdy wysoka zasadniczo wymaga aktywnego połączenia Intune z usługą MTD.
Akcje obejmują:
Aby uzyskać więcej informacji na temat korzystania z tego ustawienia, zobacz Włączanie usługi MTD dla niezarejestrowanych urządzeń. |
Podstawowa usługa MTD | Jeśli skonfigurowano wiele łączników Intune-MTD, określ podstawową aplikację dostawcy USŁUGI MTD, która powinna być używana na urządzeniu użytkownika końcowego.
Wartości obejmują:
Aby użyć tego ustawienia, należy skonfigurować ustawienie "Maksymalny dozwolony poziom zagrożenia urządzenia". Nie ma żadnych akcji dla tego ustawienia. |
Czas braku pracy | Nie ma wartości do ustawienia dla tego ustawienia.
Akcje obejmują:
Następujące aplikacje obsługują tę funkcję:
|
Dowiedz się więcej
- Dowiedz się więcej o informacjach i funkcjach serwisu LinkedIn w aplikacjach firmy Microsoft.
- Dowiedz się więcej o wersji połączeń konta linkedin na stronie Harmonogram działania platformy Microsoft 365.
- Dowiedz się więcej o konfigurowaniu połączeń konta linkedin.
- Aby uzyskać więcej informacji na temat danych udostępnianych między kontami użytkowników linkedin i kontami służbowymi firmy Microsoft, zobacz LinkedIn in Microsoft applications at your work or school (LinkedIn in Microsoft applications at your work or school).